Tecnología

LockFile ransomware ataca a Microsoft Exchange con exploits ProxyShell

Intercambio de ransomwareExchange-con-exploits-ProxyShell.jpg» width=»1600″/>

Una nueva banda de ransomware conocida como LockFile cifra los dominios de Windows después de piratear los servidores de Microsoft Exchange utilizando las vulnerabilidades de ProxyShell reveladas recientemente.

ProxyShell es el nombre de un ataque que consiste en tres vulnerabilidades encadenadas de Microsoft Exchange que dan como resultado la ejecución de código remoto no autenticado.

Las tres vulnerabilidades fueron descubiertas por Devcore Principal Security Researcher Tsai naranja, quien los encadenó para hacerse cargo de un servidor de Microsoft Exchange en el concurso de piratería Pwn2Own 2021 de abril.

Si bien Microsoft parcheó completamente estas vulnerabilidades en mayo de 2021, recientemente se revelaron más detalles técnicos, lo que permitió a los investigadores de seguridad y a los actores de amenazas reproducir el exploit.

Como informó la semana pasada Bleeping Computer, esto ha llevado a los actores de amenazas a buscar y piratear activamente servidores de Microsoft Exchange utilizando las vulnerabilidades de ProxyShell.

Después de explotar un servidor Exchange, los actores de la amenaza soltaron shells web que podrían usarse para cargar otros programas y ejecutarlos.

En ese momento, el investigador de vulnerabilidades de NCC Group Rich Warren le dijo a BleepingComputer que los shells web se estaban utilizando para instalar una puerta trasera .NET que estaba descargando una carga útil inofensiva en ese momento.

Desde entonces, investigador de seguridad Kevin Beaumont informes que una nueva operación de ransomware conocida como LockFile utiliza las vulnerabilidades Microsoft Exchange ProxyShell y Windows PetitPotam para apoderarse de los dominios de Windows y cifrar dispositivos.

Al violar una red, los actores de la amenaza primero accederán al servidor de Microsoft Exchange en las instalaciones utilizando las vulnerabilidades de ProxyShell. Una vez que logran establecerse, Symantec dice que la banda LockFile usa la vulnerabilidad PetitPotam para hacerse cargo de un controlador de dominio y, por lo tanto, del dominio de Windows.

A partir de ahí, es trivial implementar el ransomware en toda la red.

Lo que sabemos sobre el ransomware LockFile

En este momento, no se sabe mucho sobre la nueva operación de ransomware LockFile.

Cuando se vio por primera vez en julio, la nota de rescate se llamaba ‘LOCKFILE-README.hta‘pero no tenía ninguna marca en particular, como se muestra a continuación.

Notas de rescate antiguas de LockFile
Notas de rescate antiguas de LockFile

A partir de la semana pasada, Bleeping Computer comenzó a recibir informes de una banda de ransomware que usaba notas de rescate de marca que indicaban que se llamaban ‘LockFile’, como se muestra a continuación.

Estas notas de rescate utilizan un formato de nomenclatura de ‘[victim_name]-LOCKFILE-README.hta‘y le pidió a la víctima que se pusiera en contacto con ellos a través de Tox o correo electrónico para negociar el rescate. La dirección de correo electrónico actual utilizada por la operación es contact@contipauper.com, que parece ser una referencia a la operación de ransomware Conti.

LockFile

Si bien los esquemas de color de las notas de rescate son similares, los métodos de comunicación y la redacción no dejan claro si son la misma operación.

De particular interés es que el esquema de color y el diseño de las notas de rescate es muy similar al ransomware LockBit, pero no parece haber ninguna relación.

Al cifrar archivos, el ransomware agregará el .lockfile extensión a los nombres del archivo cifrado.

Ayer por la tarde, cuando Bleeping Computer y experto en ransomware Michael Gillespie analizamos la versión de julio de LockFile, encontramos que era un ransomware ruidoso, que ocupaba muchos recursos del sistema y provocaba bloqueos temporales de el ordenador.

¡Parche ahora!

Dado que la operación LockFile utiliza tanto las vulnerabilidades de Microsoft Exchange ProxyShell como la vulnerabilidad de restreaming de Windows PetitPotam NTLM, es imperativo que los administradores de Windows instalen las últimas actualizaciones.

Para las vulnerabilidades de ProxyShell, puede instalar el últimas actualizaciones acumulativas de Microsoft Exchange para parchear las vulnerabilidades.

El ataque de Windows PetitPotam se complica un poco ya que la actualización de seguridad de Microsoft está incompleta y no repara todos los vectores de vulnerabilidad.

Para parchear el ataque PetitPotam, puede usar un parche no oficial de 0patch para bloquear este vector de ataque de restreaming NTLM o aplicar filtros NETSH RPC que bloquean el acceso a funciones vulnerables en la API MS-EFSRPC.

Beaumont dice que puede realizar las siguientes consultas de Azure Sentinel para verificar si su servidor de Microsoft Exchange ha sido escaneado en busca de la vulnerabilidad ProxyShell.

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "PowerShell" | where csMethod == "POST"

Se recomienda encarecidamente a todas las organizaciones que apliquen los parches lo antes posible y creen copias de seguridad sin conexión de sus servidores Exchange.

Leave a Comment

You may also like

Más